POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
UNIVERSITI KEBANGSAAN MALAYSIA The National University of Malaysia
POLISI DAN GARIS PANDUAN PENGURUSAN RISIKO Edisi Kedua 2017
II
SENARAI KANDUNGAN Bahagian
Muka surat
SEKSYEN 1 : Polisi Pengurusan Risiko Edisi Kedua
1
SEKSYEN 2 : Pengenalan Kerangka Pengurusan Risiko Universiti
5
SEKSYEN 3 : Definisi Risiko & Pengurusan Risiko
6
SEKSYEN 4 : Kerangka Pengurusan Risiko Universiti
7
SEKSYEN 5 : Pelaporan Risiko
19
SEKSYEN 6 : Kursus Kesedaran Pengurusan Risiko
20
SEKSYEN 7 : Struktur Pentadbiran & Perlaksanaan Pengurusan Risiko
21
HUBUNGI : Pusat Pengurusan Risiko, Kelestarian & Kesihatan Pekerjaan
24
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
SEKSYEN 1 : POLISI PENGURUSAN RISIKO 1.0
Tujuan 1.1
Dasar pengurusan risiko (dasar) membentuk sebahagian daripada kawalan dalaman universiti dan pengaturan tadbir urus.
1.2
Dasar ini menerangkan pendekatan universiti terhadap dasar pengurusan risiko, dokumentasi peranan dan tanggungjawab lembaga pengarah, pasukan pengurusan kanan, dan pihak utama yang berkaitan. Dasar ini juga menggariskan aspek utama proses pengurusan risiko, dan mengenal pasti prosedur utama dalam membuat laporan.
1.3
Di samping itu, dasar ini menerangkan proses yang akan diguna pakai oleh lembaga pengarah untuk menilai keberkesanan prosedur kawalan dalaman universiti.
2.0
Pendekatan Pengurusan Risiko 2.1 Prinsip utama menggariskan pendekatan universiti untuk pengurusan risiko dan kawalan dalaman adalah seperti berikut : • Lembaga Pengarah mempunyai tanggungjawab untuk menyelia pengurusan risiko di dalam universiti secara keseluruhan • Lembaga Pengarah bersedia mengambil pendekatan yang terbuka untuk menyelesaikan masalah risiko • Naib Canselor dan AJK pengurusan universiti memberi sokongan, menasihati dan melaksanakan dasar-dasar yang diluluskan oleh lembaga pengarah • Pihak universiti membuat pengiktirafan konservatif, berhemah serta telus terhadap implikasi risiko kewangan dan bukan kewangan • Dekan fakulti, pengarah institut atau pusat bertanggungjawab untuk menggalakkan amalan pengurusan risiko yang baik dalam fakulti, institut atau pusat • Petanda risiko penting akan dikenal pasti dan dipantau dengan rapi secara berkala.
3.0
Peranan Lembaga Pengarah 3.1 Lembaga Pengarah mempunyai peranan penting dalam pengurusan risiko. Peranannya adalah untuk: a. Menanam budaya pengurusan risiko dalam universiti. Ini termasuk: • menetapkan sama ada universiti mempraktik ‘pengambilan risiko’ atau ‘penyahan risiko’ secara keseluruhan mengenai isu individu yang berkaitan • menentukan jenis risiko yang boleh diterima dan tidak • menetapkan piawai dan jangkaan kakitangan ke atas tingkah laku dan kejujuran. b. Menentukan ‘risk apetite’ yang sesuai atau tahap pendedahan risiko bagi universiti. c. Meluluskan keputusan utama yang mempengaruhi profil risiko universiti atau pendedahan risiko. d. Memantau pengurusan risiko penting untuk mengurangkan kemungkinan perkara yang tidak diingini. e. Memastikan juga risiko yang kurang penting diuruskan secara aktif, dengan kawalan yang sesuai bagi suasana kerja yang berkesan. 1
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
f.
Menjalankan kajian tahunan ke atas pendekatan universiti terhadap pengurusan risiko dan meluluskan perubahan atau penambahbaikan kepada elemen utama proses dan prosedur.
4.0
Peranan Pasukan Pengurusan Kanan 4.1 Peranan utama pasukan pengurusan kanan adalah untuk: a. Melaksanakan dasar pengurusan risiko dan kawalan dalaman. b. Mengenal pasti dan menilai risiko penting yang dihadapi oleh universiti untuk pertimbangan ahli lembaga pengarah. c. Menyediakan maklumat yang mencukupi pada masa yang tetap kepada lembaga pengarah dan jawatankuasanya mengenai status risiko dan kawalan. d. Menjalankan kajian semula tahunan keberkesanan sistem kawalan dalaman dan menyediakan laporan kepada lembaga pengarah.
5.0
Pengurusan Risiko sebagai sebahagian daripada sistem kawalan dalaman 5.1 Sistem kawalan dalaman menggabungkan pengurusan risiko. Sistem ini merangkumi beberapa unsur yang juga memudahkan operasi yang berkesan dan cekap, membolehkan universiti untuk bertindak balas terhadap pelbagai risiko operasi, kewangan dan komersial. Unsur-unsur ini termasuk: a. Dasar dan prosedur Selain daripada risiko penting terdapat satu siri dasar yang menyokong proses kawalan dalaman. Dasar ini ditetapkan oleh lembaga pengarah yang dilaksanakan dan disampaikan oleh pengurusan kanan kepada kakitangan. Prosedur bertulis boleh menyokong dasar yang bersesuaian. b.
Laporan berkala Laporan komprehensif berkala bertujuan untuk memantau risiko penting dan kawalan mereka. Keputusan untuk penambahbaikan ke atas sebarang permasalahan dibuat dalam mesyuarat tetap pasukan pengurusan kanan dan lembaga pengarah jika sesuai. Mengekalkan rekod sewajarnya.
c.
Perancangan bisnes dan belanjawan. Perancangan bisnes dan proses belanjawan digunakan untuk menetapkan objektif, persetujuan pelan tindakan, dan memperuntukkan sumber. Kemajuan ke arah memenuhi objektif pelan bisnes akan sentiasa dipantau.
d.
Rangka kerja risiko tahap tinggi (risiko penting sahaja). Rangka kerja ini disusun oleh pasukan pengurusan kanan dan dapat membantu bagi memudahkan pengenalpastian, penilaian dan pemantauan berterusan risiko penting universiti. Dokumen tersebut secara rasmi dinilai setiap tahun iaitu kewujudan risiko ditambah sebagaimana yang dikehendaki. Tindakan penambahbaikan dan petanda risiko dipantau secara berkala. 2
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
d.
Rangka kerja risiko Fakulti / Institut / Pusat Dekan fakulti, pengarah institut atau pusat membangun perlu menggunakan rangka kerja ini untuk memastikan bahawa risiko yang utama di fakulti mereka dikenal pasti, dinilai dan dipantau. Risiko utama adalah melibatkan risiko yang boleh mengganggu gurat operasi PTj. Dokumen tersebut secara rasmi dinilai setiap tahun berdasarkan tiga skala pemantauan iaitu setiap 3 bulan, 6 bulan dan 12 bulan. Kemunculan risiko baru ditambah sebagaimana yang dikehendaki. Tindakan penambahbaikan dan penanda risiko dipantau oleh unit risiko yang terlibat.
e.
Jawatankuasa Audit Jawatankuasa Audit dikehendaki melaporkan kepada lembaga pengarah mengenai kawalan dalaman dan memaklumkan pengarah tentang kemunculan mana-mana isu. Di samping itu, jawatankuasa menyelia audit dalaman, audit luaran dan pengurusan seperti yang dikehendaki dalam laporan kajian semula kawalan dalaman. Oleh itu, adalah wajar jawatankuasa ini memberi nasihat kepada lembaga mengenai keberkesanan sistem kawalan dalaman, termasuk sistem universiti untuk pengurusan risiko.
f.
Program audit dalaman Audit dalaman adalah elemen penting dalam proses kawalan dalaman. Selain daripada program kerja, audit dalaman bertanggungjawab bagi aspek kajian semula tahunan keberkesanan sistem kawalan dalaman dalam organisasi.
g.
Audit luaran Audit luaran menyediakan maklum balas kepada Jawatankuasa Audit mengenai operasi kawalan kewangan dalaman yang dibuat kajian semula sebagai sebahagian daripada audit tahunan.
h.
Laporan pihak ketiga Dari semasa ke semasa, penggunaan perunding luar adalah perlu dalam bidang seperti kesihatan, keselamatan, dan sumber manusia. Penggunaan pihak pakar ketiga untuk berunding serta menyediakan laporan boleh meningkatkan kebolehpercayaan sistem kawalan dalaman.
3
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
i.
Sistem Pengurusan Kualiti Perkhidmatan Kerjasama dengan Pusat Jaminan Kualiti diperlukan bagi menjadikan pengurusan risiko pengurusan kualiti perkhidmatan universiti diaplikasi mengikut piawaian ISO 9001:2015 yang terkini untuk audit pihak luar. Pelaporan berpandukan ISO menjadi salah satu medium bagi memantau dan melihat keberkesanan kawalan risiko tersebut.
6.0
Laporan tahunan kajian semula keberkesanan Lembaga pengarah bertanggungjawab untuk membuat kajian semula ke atas keberkesanan kawalan dalaman universiti berdasarkan maklumat yang disediakan oleh pasukan pengurusan kanan. Pendekatan yang digariskan adalah seperti di bawah : 6.1
Bagi setiap risiko penting yang dikenal pasti, lembaga pengarah akan: a.
membuat kajian semula semula tahun sebelumnya dan menilai rekod universiti mengenai pengurusan risiko dan kawalan dalaman
b.
mempertimbangkan profil risiko dalaman dan luaran tahun yang akan datang dan mempertimbangkan jika pengaturan kawalan dalaman semasa adalah berkesan.
6.2
Dalam membuat keputusan lembaga pengarah akan mempertimbangkan aspek-aspek berikut: a.
Kawalan Persekitaran: •
objektif universiti serta sasaran kewangan dan bukan kewangan
•
struktur organisasi dan keteguhan pasukan pengurusan kanan
•
budaya, pendekatan, dan sumber yang berkaitan dengan pengurusan risiko
•
agihan autoriti
•
laporan awam.
. b.
Pengenal pastian berterusan dan penilaian risiko penting: •
mengenal pasti tepat pada masanya dan menilai risiko penting
•
memberi keutamaan kepada risiko dan peruntukan sumber bagi menangani bidang risiko tinggi.
c.
Maklumat dan komunikasi: •
kualiti dan ketepatan masa makluman mengenai risiko penting
•
keperluan tempoh masa yang sesuai bagi kawalan kerosakan untuk diiktiraf atau kewujudan risiko yang dikenal pasti.
4
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
d.
Pemantauan dan tindakan pembetulan : •
keupayaan universiti untuk belajar daripada masalah
•
komitmen dan kepantasan pelaksanaan terhadap tindakan pembetulan yang dilaksanakan.
6.3
AJK pengurusan akan menyediakan laporan kajian semula keberkesanan sistem kawalan dalaman setiap tahun untuk dipertimbangkan oleh lembaga pengarah.
5
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
SEKSYEN 2 : PENGENALAN KERANGKA PENGURUSAN RISIKO UNIVERSITI Polisi Pengurusan Risiko telah diluluskan oleh Lembaga Pengarah Universiti (LPU) pada 10 Februari 2011. Semakan Polisi dan Garis Panduan Edisi Kedua telah dibincangkan pada Mesyuarat Jawatankuasa Pengurusan Risiko Bil 3/2016 pada 30 November 2016 dan telah diluluskan pada Mesyuarat LPU Bil 1/2017 bertarikh 12 Januari 2017. Polisi ini digunakan untuk memastikan Kod Amalan Terbaik Tadbir Urus Universiti (CUGG) dipatuhi. UKM telah menggunakan ISO 31000:2009 sebagai kerangka asas pengurusan risiko universiti. Kerangka Pengurusan Risiko ini selari dengan pencapaian objektif, misi, dan visi universiti dengan memikul amanah dan tanggungjawab ke atas pihak yang berkepentingan di universiti. Laporan Pengurusan Risiko semua pusat tanggungjawab universiti (PTJ) dibentangkan kepada Pengurusan Fakulti, MPU secara telus dan bebas kepada LPU.
6
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
SEKSYEN 3 : DEFINISI RISIKO DAN PENGURUSAN RISIKO Dalam persekitaran universiti yang semakin kompleks, risiko sentiasa wujud dalam setiap aktiviti universiti. Maka satu pendekatan yang sistematik adalah amat penting bagi mencapai objektif universiti. Justeru, kerangka pengurusan risiko digunakan di semua PTJ UKM secara konsisten bagi menguruskan risiko setiap aktiviti di PTJ. Pendekatan secara Atas-Bawah (Top-Down) dan Bawah-Atas (Down-Top) digunakan dalam memastikan ancaman atau peluang dapat diurus dengan baik oleh pihak pengurusan dan LPU ke arah pencapaian objektif universiti.
Definisi Risiko Sesuatu isu/kejadian yang berlaku serta boleh memberi kesan terhadap pencapaian objektif atau matlamat sesebuah organisasi.
Definisi Pengurusan Risiko Menurut “ISO” Satu proses yang dilaksanakan di semua peringkat universiti seperti Ahli Lembaga Pengarah, pihak pengurusan dan kakitangan yang digunakan untuk menetapkan pembentukan strategi ke seluruh aktiviti bagi mengenal pasti peristiwa yang akan berlaku seterusnya memberi kesan kepada aspirasi universiti dan pada masa yang sama mengurus risiko mengikut ketetapan universiti bertujuan untuk memberi jaminan munasabah ke arah pencapaian objektif universiti.
7
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
SEKSYEN 4 : KERANGKA PENGURUSAN RISIKO UNIVERSITI
Rajah 1
8
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
RANTAIAN PENGURUSAN RISIKO UNIVERSITI
Konteks
*Menentukan persekitaran strategik dan budaya universiti. *Mengenal pasti objektif universiti daripada segi misi dan visi. *Mengenal pasti objektif jabatan.
Kenal pasti Risiko
*Mengenal pasti risiko dan menentukan risiko menurut kategori: - Strategik - Kewangan - Operasi - Peraturan *Mengenalpasti diskripsi risiko
Analisa Risiko
*Menentukan kebarangkalian risiko berlaku seperti: -hampir pasti, -kemungkinan berlaku, -berpeluang berlaku, -kemungkinan rendah, -hampir tiada kemungkinan *Menentukan impak risiko apabila berlaku seperti:
Menilai Risiko
*Berdasarkan analisa ke atas kebarangkalian dan impak risiko *Penentuan kedudukan risiko sama ada: - Sangat Tinggi - Tinggi - Sederhana - Rendah
-sangat besar, -besar, -ketara, -boleh diukur, -tidak ketara
Menghadapi Risiko
*Mengenal pasti semua pilihan yang dapat mengurangkan kebarangkalian dan impak risiko. *Membangunkan respon risiko. *Memilih respon risiko seperti:-Terima -Kurangkan - Pindahkan - Elakkan
Memantau Risiko
*Tindakan susulan ke atas keputusan yang dibuat. *Menilai semula risiko daripada segi kesesuaian. *Pelarasan keutamaan (priority) sekiranya perlu.
Komunikasi Risiko
*Pemakluman kepada Penyelaras Risiko PTJ serta pemakluman kepada J/kuasa Risiko Fakulti yang terdiri dari pada pengurusan fakulti dan seterusnya kepada JK Pengurusan Risiko Universiti *Pelaporan disalurkan melalui dalam talian (on-line) seperti web laporan.
Rajah 2
9
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
Perincian tindakan adalah seperti berikut : Langkah 1 : Konteks Dalam membangunkan konteks, ciri-ciri berikut perlu dipertimbangkan iaitu: Persekitaran Universiti contoh : Program yang ditawarkan, pelajar, dan pihak berkepentingan Panduan Strategik contoh: Kepuasan pelanggan, misi, dan visi Gaya Operasi contoh: Teknologi, polisi-polisi dalaman, dan struktur pelaporan Dalam menentukan objektif, misi dan visi, faktor Petunjuk Prestasi Utama (KPI) perlu diberi perhatian kerana KPI merupakan tunjang kepada matlamat universiti.
Langkah 2 : Kenal pasti Risiko a)
Mengenal pasti semua potensi risiko.
b)
Mengenal pasti semua sumber risiko berpotensi.
c)
Terdapat risiko Dalam Kawalan dan Luar Kawalan.
d)
Beberapa analisis boleh digunakan untuk mengenal pasti semua potensi risiko seperti KPI, PESTEL, dan Value Chain Analysis.
e)
Selain itu juga, beberapa faktor yang menentukan sejauh mana kebarangkalian dan impak ke atas perkara-perkara berikut adalah sumber kepada risiko seperti:
f)
Ekonomi :matawang asing.
Aktiviti utama universiti
Warga universiti atau orang awam
Alam sekitar
Kewangan :- fraud kecurian
Kesan pada manusia ;- sabotaj, rebutan kuasa
Kesan pada alam semulajadi:pertukaran cuaca, gempa bumi, tsunami
Kerosakan harta :- kebakaran , banjir , letupan.
Liabiliti professional :- kecacatan pada rekabentuk
Aset dan sumber universiti
ketidaktentuan
Alat dan teknik :
Temuduga berstruktur
Percambahan minda
Perbincangan kumpulan
Analisis aliran kerja
Kajian fizikal 10
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
Rekod kerugian lampau
Langkah 3 : Kategori Risiko Terdapat 4 kategori utama risiko : KATEGORI
KETERANGAN
Strategik
Risiko utama yang memberi kesan kepada aspirasi universiti
Kewangan
Risiko yang menjejaskan pembiayaan atau dana universiti.
Operasi
Risiko yang menjejaskan perkhidmatan kepada kakitangan, pelajar dan pihak luar universiti.
Peraturan
Risiko yang memberi kesan kepada pematuhan undang-undang dan peraturan.
Langkah 4 : Analisis Risiko Tahap Kebarangkalian Dalam menganalisis risiko, pengenalpastian sejauhmana kebarangkalian boleh berlaku dan impak bagi sesuatu risiko adalah mengikut tahap seperti Jadual 1. TAHAP
DEFINISI
KETERANGAN
5
>1 dlm 10
Hampir pasti (Almost Certain)
Peristiwa dijangka berlaku atau akan berlaku secara berkala ( berulang ) dengan kebarangkalian yang tinggi.
4
1 dlm 10-100
Berkemungkinan tinggi (Likely)
Peristiwa mempunyai kebarangkalian untuk berlaku (peluang yang signifikan)
3
1 dlm 100-1000
Berpeluang untuk berlaku (Possible)
Peristiwa berkemungkinan berlaku ( peluang yang realistik )
2
1 dlm 1000-10000
Kemungkinan yang rendah (Low)
Peristiwa boleh berlaku ( peluang yang moderat )
<1 dlm 10000
Hampir tiada kemungkinan (Unlikely)
Peristiwa tidak dilihat akan berlaku atau hanya akan berlaku dalam keadaan – keadaan yang luarbiasa (peluang yang jauh)
1
Jadual 1
11
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
Manakala pengukuran tahap kesan atau impak sesuatu risiko adalah seperti Jadual 2.
Impak Risiko TAHAP 5
Kategori
TAHAP 1
TAHAP 2
TAHAP 3
TAHAP 4
(Tidak penting)
(Kecil)
(Sederhana)
(Tinggi)
(Ekstrem/sangat tinggi)
Kejadian atau situasi kritikal yang boleh diharungi dengan pengurusan yang betul
Kejadian atau situasi yang berpotensi untuk memberi impak yang sangat teruk kepada perniagaan atau kesan buruk yang ketara untuk kawasan-kawasan penting
Beberapa kerugian tidak melibatkan kehilangan harta; langkah kawalan yang sedia ada serta prosedur yang lain mampu menangani kejadian atau situasi.
Kejadian yang mengakibatkan sesuatu yang boleh ditangani melalui langkah-langkah pengurusan untuk mengurangkan impak.
Kejadian atau situasi ketara/serius yang boleh diuruskan melalui keadaan biasa
- Kehilangan yang ketara/ penurunan bilangan pelajar dalam sesuatu kursus
Pendidikan dan Penyelidikan
- Sedikit penurunan dalam pendaftaran pelajar.
- Penurunan sederhana dalam pendaftaran pelajar
- Kesan yang tidak serius kepada aktiviti penyelidikan ataupun dalam pencapaian pengajaran/objektif penyelidikan.
- Kesan kecil kepada aktiviti penyelidkan. - Masalah sementara untuk mencapai beberapa objektif pengajaran/penyelidi kan.
- Kehilangan sesuatu kursus akademik yang penting - Masalah ketara dalam pencapaian objektif pengajaran atau penyelidikan - Kerosakan yang ketara tetapi untuk jangka masa yang pendek kepada satu perkongsian.
- Penurunan yang ketara dalam pendaftaran pelajar. - Kehilangan sesebuah sekolah penting. - Kesan yang besar kepada aktiviti penyelidikan untuk tempoh yang berterusan. - Masalah yang besar dalam pencapaian objektif pengajaran dan penyelidikan. - Kerosakan yang serius untuk jangka masa yang lama kepada perkongsian/ kerjasama.
- Kehilangan yang sangat besar/penurunan pendaftaran pelajar - Kehilangan sesuatu fakulti. - Masalah serius untuk mencapai bilangan pelajar, objektif pengajaran dan penyelidikan. - Kesan yang tidak boleh dibaiki kepada hubungan dengan rakan kongsi/ rakan usaha sama
12
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
- Insiden yang sama ada mengakibatkan atau tidak mengakibatkan kecederaan kecil. Manusia
- Kehilangan tidak ketara pada kemahiran atau pengetahuan - Dialog bersama kumpulan industri/pelajar mungkin diperlukan.
- Keperluan keselamatan dan kesihatan terjejas. - Kehilangan masa atau potensi untuk tuntutan liabiliti awam. - Beberapa kehilangan kakitangan dengan kerugian yang boleh diterima/defisit dalam kemahiran - Dialog diperlukan bersama kumpulan industri atau badan perwakilan pelajar.
- Kecederaan kepada kakitangan, kehilangan masa atau notis penalti disebabkan perbuatan, tempat bekerja/loji atau peralatan yang tidak selamat. - Kehilangan kemahiran, pengetahuan dan kepakaran untuk jangka masa yang pendek. - Moral kakitangan yang teruk atau kenaikan kadar tidak hadir pekerja.
- Kecederaan serius. - Kejadian berbahaya hampir terjadi - Kehilangan beberapa kakitangan penting mengakibatkan defisit pada kemahiran, pengetahuan dan kepakaran. - Ancaman tindakan daripada industri - Ancaman protes pelajar/ aktiviti
- Kecederaan serius atau kematian. - Kehilangan jumlah besar kakitangan penting yang memberi impak kepada kemahiran, pengetahuan dan kepakaran - Tindakan daripada kakitangan industri. - Pergolakan/prot es/keganasan pelajar.
- Rasa tidak puas hati daripada pelajar. - Masalah khidmat tempatan atau Program Pendidikan/Penyelidi kan. Khidmat Penghantaran
- Impak yang kecil kepada khidmat penghantaran.
- Kehilangan/Ganggu an/Kompromi sistem perniagaan kritikal atau program penyelidikan selama jangka masa yang boleh diterima tetapi pada waktu yang menyusahkan. - Sedikit liputan media buat jangka masa yang pendek.
Jenama & Reputasi
- Kerosakan kecil kepada jenama, imej atau reputasi.
- Kebimbangan dibangkitkan oleh pelajar/ pemegang saham/amanah
- Sasaran khidmat penghantaran yang penting tidak boleh dicapai. - Kehilangan/Gang guan/Kompromi sistem perniagaan kritikal atau program Pendidikan/Penye lidikan untuk jangka masa yang berlarutan.
-
Pemberhentian sistem perniagaan yang penting atau program Pendidikan/Pen yelidikan pada masa yang tidak boleh diterima dan/atau pada waktu yang genting dalam kalendar Universiti.
- Kerosokan yang - Mengalami ketara namun kerosakan untuk jangka masa kepada yang pendek jenama/imej atau kepada reputasi reputasi nasional atau tempatan - Kebimbangan daripada - Liputan berita
- Pemberhentian sistem perniagaan yang penting atau program pendidikan/peny elidikan untuk jangka masa yang tidak boleh diterima dan/atau pada masa yang kritikal dalam kalendar universiti. - Kerosakan pada reputasi atau status G08 buat jangka masa yang panjang. - Mendapat perhatian media
13
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
Pelajar/Pemegang saham/amanah dan/atau komuniti.
buruk daripada media nasional atau tempatan.
- Mendapat liputan berita tempatan yang besar
- Sedikit kerugian kewangan
Kewangan
- TIdak mungkin memberi impak kepada bajet atau aktiviti yang dibiayai.
- Perlukan pemantauan & tindakan pembetulan dengan menggunakan sumber yang sedia ada.
- Kerugian kewangan yang ketara. - Impak boleh dikurangkan dengan pembahagian semula sumber
- Kerugian kewangan yang teruk. - Perlukan pelarasan yang besar kepada program yang diluluskan/ projek dibiayai.
- Pelanggaran besar pada syarat kontrak, akta, peraturan atau syarat persetujuan. -
Pematuhan
Tidak mungkin akan mendapatkan tindakan negatif dari pihak berkuasa.
- Ketidakpatuhan yang kecil atau pelanggaran kontrak, Akta, peraturan, syarat persetujuan
Pelanggaran syarat kontrak, akta, peraturan atau syarat persetujuan yang ketara.
- Mungkin mengakibatkan pemberian notis pelanggaran.
- Potensi untuk melibatkan tindakan badan berkuasa
- Penyiasatan, pendakwaan dan/atau denda yang besar. - Dijangka menarik perhatian badan berkuasa
yang negative. - Jenama/Imej terjejas dalam negara dan/atau antarabangsa. - Kerugian kewangan yang sangat teruk. - Melebihi bajet dengan ketara yang tidak boleh diselaraskan dalam lingkungan bajet yang sedia ada - Pelanggaran serius pada kontrak atau undang-undang. - Pendakwaan yang serius dan kemungkinan tinggi untuk dikenakan denda. - Potensi tindakan undang-undang termasuk tindakan class (class action) dikenakan. - Pembiayaan pada masa depan/kelulusan/ pendaftaran/pele senan adalah terjejas.
Jadual 2. Hasil yang diperolehi dibentuk dalam matriks seperti Jadual 2. Matriks ini terbahagi kepada 4 faktor utama seperti berikut : a) Individu / Masyarakat b) Reputasi c) Sistem d) Kewangan 14
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
1
2
3
4
5
Tidak ketara
Boleh diukur
Ketara
Besar
Sangat Besar
Ketara (5)
Ketara (10)
Tinggi (15)
Sederhana (4)
Ketara (8)
Ketara (12)
Tinggi (16)
Sangat Besar (20)
Rendah (3)
Sederhana (6)
Ketara (9)
Tinggi (12)
Tinggi (15)
Rendah (2)
Rendah (4)
Sederhana (6)
Ketara (8)
Tinggi (10)
Rendah (1)
Rendah (2)
Sederhana (3)
Ketara (4)
Ketara (5)
Impak Kemungkinan 5
4
3
2
1
> 1 dlm 10
Hampir pasti
1 dlm 10 - Berkemungkinan 100
tinggi
1 dlm 100 – Berpeluang untuk 1,000
berlaku
1 dlm 1,000
Kemungkinan
– 10,000
rendah
< 1 dlm
Hampir Tiada
10,000
Kemungkinan
Sangat Besar (20) Sangat Besar (25)
Namun begitu penarafan risiko secara kasar (Gross Rating) ditentukan tanpa mengambilkira keberkesanan kawalan dalaman sedia ada. Hasilnya kedudukan risiko dapat ditentukan berdasarkan Jadual 3.
Jadual 3
Kaedah analisis tahap risiko Terdapat 3 kaedah analisis dalam menentukan tahap risiko tersebut adalah seperti berikut :a) Analisis Kualitatif b) Analisis Semi – kuantitatif c) Analisis Kuantitatif
15
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
Sumber bagi analisis risiko adalah seperti di Jadual 4 seperti di bawah: Kaedah
Sumber
Analisis Kualitatif
Analisis Kuantitatif
Analisis Semi-kuantitatif
Rekod lepas, pengalaman teknikal berkaitan, pertimbangan pakar, kajian pasaran, situasi ekonomi, kejuruteraan serta model-model lain yang berkaitan.
Analisis keputusan pokok Analisis kebarangkalian Analisis akibat Simulasi dan Sistem Pengurusan berkomputer.
Kombinasi kuantitatif.
antara
sumber
kualitatif
dan
Jadual 4
Langkah 5 : Menilai Risiko Kedudukan risiko dapat ditentukan setelah perhubungan impak dan kebarangkalian Kedudukan risiko boleh dikategorikan seperti : i. Sangat Tinggi ii. Tinggi iii. Ketara iv. Sederhana v. Rendah
seperti Jadual 3.
Pada masa yang sama berpandukan kedudukan risiko tersebut, pelan tindakan yang sesuai mengikut kod warna seperti Jadual 5. KEDUDUKAN RISIKO Sangat Tinggi
/
Tinggi
PELAN TINDAKAN Risiko perlu diuruskan oleh Ketua PTJ dengan pelan respon risiko secara terperinci. Di samping itu juga, ia memerlukan perhatian daripada Lembaga Pengarah Universiti dan Pengurusan Atasan Universiti. Risiko boleh diuruskan dengan mengambil pilihan sama ada Terima, Kurangkan, Pindah atau Elakkan. Ia memerlukan perhatian daripada Pengurusan Utasan Universiti dan Ketua
Ketara
PTJ yang berkaitan. Sederhana
/
Risiko boleh diuruskan secara minima dan perekodan risiko dibuat.
Rendah Jadual 5 16
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
Seterusnya, dalam menentukan keberkesanan kawalan dalaman, terdapat 5 kategori iaitu : i. Cemerlang ii. Baik iii. Memuaskan iv. Lemah v. Tiada Kawalan Perincian adalah seperti di Jadual 6 : KATEGORI KAWALAN
KETERANGAN Langkah mitigasi diukur setaraf dengan amalan terbaik global (penilaian bebas) diukur dan
Cemerlang
dilaksanakan. Langkah mitigasi yang baik, sentiasa disemak semula dan bersesuaian pada semua peringkat
Baik
aktiviti. Langkah mitigasi formal diukur dan dilaksanakan atau mengikut (SOP) Standard Operating
Memuaskan Lemah Tiada Kawalan
Procedure. Langkah mitigasi yang minimum atau keperluan peraturan minimum diukur serta dilaksanakan. Tiada langkah mitigasi dilaksanakan.
Jadual 6 Pegawai Risiko perlu memastikan bahawa bagi kawalan yang dikategori kurang berkesan (lemah dan tiada kawalan) perlu diambil tindakan serta merta. Kawalan yang dibuat adalah dalam bentuk pengenalan, semak semula, atau penambahbaikan polisi, prosedur dan garis panduan, penambahbaikan proses perniagaan, aplikasi perisian atau alat, tindakan pihak kurang berkesan ataupun lain-lain mekanisme kawalan yang kurang memitigasi penyebab utama. Setelah mengambilkira pengukuran kawalan, risiko kemudian dinilai semula kepada kebarangkalian berlaku dan impak dengan menggunakan parameter Jadual 1 dan 2 serta dengan menggunakan Jadual 3 kedudukan risiko, risiko residual kemudian ditentukan.
Langkah 6 : Respon Ke Atas Risiko Langkah 6 diambil dengan memberi respon kepada risiko yang dikenalpasti dan diukur lebih awal supaya dapat diurus ke tahap yang boleh diterima. Pada peringkat ini, kita perlu mengenalpasti dan menilai kemungkinan pilihan atau kesesuaian strategi yang perlu ditetapkan bagi menguruskan risiko terbabit. Satu pelan respon risiko perlu dibangunkan bagi mendapatkan jaminan munasabah ke atas pencapaian objektif. Pada kebanyakan keadaaan, adalah sukar untuk mengelak dan menghapuskan risiko. Respon risiko adalah bertujuan :
17
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
i. ii. iii.
Meminimakan kebarangkalian (kekerapan) risiko iaitu dengan melibatkan pihak pengurusan secara aktif menguruskan sumber – sumber risiko; Mengurangkan impak risiko melalui mekanisma pre-loss pencegahan berlaku seperti pemasangan water sprinkler atau post-loss seperti menyediakan DRP – Disaster Recovery Plan ; dan Respon Risiko terbahagi kepada 4 iaitu : Terima – Accept (T) Kurangkan – Reduce (K) Pindah – Pass On (P) Elak – Avoid (E)
Aplikasi strategi di atas adalah seperti dalam Jadual 7 PILIHAN RISIKO Terima–Accept (Menyediakan pelan ) Kurangkan-Reduce Pilihan 1 (Mengurangkan kebarangkalian atau impak) Kurangkan-Reduce Pilihan 2 (Mengurangkan impak risiko) Pindah-Pass On (Pindahkan risiko kepada pihak ketiga) Elak-Avoid (Dengan menutup aktiviti yang boleh menyebabkan risiko)
CONTOH TINDAKAN
Menentukan sasaran kerugian dan tahap toleransi. Menentukan caj premium terhadap risiko. Melibatkan belanja atau kos ke atas akibat yang akan berlaku. Membangunkan polisi, pelan perancangan , garis panduan Latihan dan pengawasan Menghayati Etika dan Nilai Penerapan kepada Misi, Visi, Strategi, Objektif dan Wawasan. Pelan Kontigensi Pelan Pemulihan Bencana (Disaster Recovery Plan) Pengurusan Penipuan (Fraud) Pindahan secara kontrak Kecilkan skala aktiviti Kontrak takaful atau insurans Kontrak Usahasama, perkongsian kontrak
Menutup aktiviti atau program Mengubah objektif aktiviti
Jadual 7 Pemilihan 4 respon risiko ini perlulah mempunyai keseimbangan daripada segi kos dan manfaat. Beberapa persoalan yang digunakan dalam memilih pelan respon risiko seperti : Apakah keberkesanan kos yang sesuai? Apakah penunjuk prestasi yang digunakan untuk mengawasi tahap risiko? Apakah proses atau tindakan yang sesuai untuk meminimakan risiko? Apakah sumber yang diperlukan seperti kakitangan sokongan, peruntukan wang atau bantuan teknikal yang sesuai? Siapakah yang bertanggungjawab dalam melaksanakan pelan respon risiko dan tempoh masa yang terlibat?
18
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
Keberkesanan pelaksanaan pelan respon risiko memerlukan sistem pengurusan yang efektif, yang mana spesifik : Kaedah yang dipilih; Tanggungjawab yang jelas dan akauntabiliti pada setiap tindakan ; dan Pemantauan aktif ke atas pelaksanaan dan penanda arasan terhadap kriteria spesifik.
Langkah 7 : Pemantauan dan Semak Semula Pemantauan perlu dilaksanakan secara berterusan dalam memastikan keseluruhan kerangka berfungsi dengan baik. Dengan erti kata yang lain, tindakan susulan ke atas hasil pada setiap langkah, penilaian semula ke atas risiko sekiranya perlu dan tahap keutamaan di semak semula. Pelarasan keutamaan diperlukan bergantung kepada : Faktor yang memberi kesan kepada kebarangkalian / kekerapan dan sejauhmana impak. Faktor-faktor yang memberi kesan kepada kesesuaian atau kos daripada pelbagai respon risiko. Proses semak semula secara berterusan adalah sesuai untuk memastikan pelan Respon Risiko kekal relevan. Sehubungan itu, ia adalah sesuai untuk mengulangi keseluruhan proses sekiranya diperlukan. Alat pengurusan risiko boleh digunakan untuk mengumpul dan menyimpan risiko secara terkumpul dan Pelan Pengurusan Risiko bagi operasi jabatan masing-masing.
19
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
SEKSYEN 5 : PERLAPORAN RISIKO Sistem Pengurusan Risiko Universiti (SPRU) Merupakan perisian yang menyimpan data bagi semua risiko. Perisian ini dibangunkan dalam pelbagai medium sama ada secara web (web based) dan juga secara sendiri (stand alone) seperti menggunakan excel bagi menyimpan data yang dikumpul. Perisian ini juga menyediakan daftar risiko dan pelan tindakan mitigasi risiko. Pusat Pengurusan Risiko, Kelestarian dan Kesihatan Pekerjaan bertanggungjawab menyediakan laporan pengurusan risiko kepada Lembaga Pengarah Universiti mengenai :
Senarai risiko yang signifikan; Kawalan dalaman yang sesuai untuk mengurus risiko terbabit; Hasil yang diperolehi setelah kursus kesedaran risiko dibuat kepada semua warga universiti; dan Tahap kompetensi dan kemahiran Pegawai Risiko setiap PTJ.
20
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
SEKSYEN 6 : KURSUS KESEDARAN PENGURUSAN RISIKO Kursus dan Bengkel Pengurusan Risiko akan diberikan kepada warga universiti dengan kerjasama Bahagian Pembangunan Sumber Manusia Jabatan Pendaftar, Pusat Pembangunan Profesional & Kepimpinan (PROFESIONAL-UKM) serta Bahagian Pembangunan Sumber Manusia PPUKM setiap tahun.
21
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
SEKSYEN 7 : STRUKTUR PENTADBIRAN DAN PELAKSANAAN PENGURUSAN RISIKO 1. Pembangunan Polisi Pengurusan Risiko. Lembaga Pengarah Universiti telah meluluskan polisi pengurusan risiko pada 10 Februari 2011. Ia adalah bertujuan :
Memperincikan perlaksanaan kerangka pengurusan risiko di peringkat universiti;
Menjelaskan peranan, tanggungjawab pihak yang terlibat; dan
Menentukan perkara yang perlu dilakukan untuk merealisasikan pelan ini.
2. Peranan Jawatankuasa Pengurusan Risiko Universiti. Melaporkan dan menasihat Lembaga Pengarah Universiti mengenai isu keberkesanan sistem pengurusan risiko universiti dan memberi amaran mengenai risiko yang signifikan.
3. Pusat Pengurusan Risiko, Kelestarian dan Kesihatan Pekerjaan. Memberikan khidmat sokongan perlaksanaan pengurusan risiko dalam memastikan penerimaan perlaksanaan kerangka ini di PTJ seperti memastikan taklimat kepada pihak bertanggungjawab di PTJ dan universiti dilakukan. Ia juga bertanggungjawab dalam membangunkan sistem perlaporan, alat dan borang bagi perlaksanaan pengurusan risiko universiti.
4. Peranan Jawatankuasa Pengurusan Risiko PTJ.
Melantik pegawai risiko dan jawatankuasa yang ahlinya terdiri daripada ahli pengurusan akademik (PTJ berkaitan akademik), pegawai insiden, pegawai kesihatan pekerjaan, pengurus kualiti dan ISO serta ekskekutif atau pegawai yang bertanggungjawab menguruskan PTJ;
Laporan pengurusan risiko perlu dibentangkan dalam agenda mesyuarat fakulti atau PTJ; dan
Jawatankuasa ini bertanggungjawab untuk memastikan risiko peringkat PTJ yang signifikan dikenalpasti, diukur dan dipantau.
5. Peranan Pegawai Risiko PTJ.
Memastikan keseluruhan proses pengurusan risiko berjalan dengan lancar dan diselaraskan di peringkat jabatan;
Mengenalpasti risiko di peringkat PTJ adalah komprehensif;
Mengenalpasti strategi menangani risiko dengan menyemak aktiviti mitigasi yang dilakukan di peringkat PTJ serta keberkesanannya; dan
Bertindak sebagai perantara PTJ dan juga urusetia Pusat Pengurusan Risiko. Kelestarian dan Kesihatan Pekerjaan di Fakulti/Institut/Pusat.
22
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
Menguruskan dan memastikan agenda pengurusan risiko dibawa dalam mesyuarat pengurusan PTJ.
6. Peranan Unit Audit Dalam
Melaksanakan pengauditan berasaskan risiko;
Fokus kepada kerja audit terhadap risiko yang sangat besar, besar dan signifikan;
Memberi kerjasama yang proaktif dan melibatkan proses pengurusan risiko; dan
Mengendalikan penilaian bebas ke atas semakan pelaksanaan ERM & BCM.
23
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
STRUKTUR ORGANISASI
Struktur Pengurusan Risiko Pengawasan Risiko Barisan Ketiga
Lembaga Pengarah Jawatankuasa Audit
Jawatankuasa Pengurusan Risiko Universiti ROSH-UKM (Setiausaha)
RMO ROSH-UKM
Pengawasan Risiko Barisan Kedua
Audit Dalam
Jawatankuasa Pengurusan Risiko PTJ (Penolong Pendaftar/Pengurusan PTJ - Setiausaha)
Pengawasan Risiko Barisan Pertama
Canselori
Fakulti
RMU 1
RMU 2
Pengurusan Pusat / Institut
RMU 3
RMU 4
Pegawai Risiko PTJ Makluman pengurusan risiko 24
POLISI & GARIS PANDUAN PENGURUSAN RISIKO UKM- EDISI KEDUA
Sebarang pertanyaan & maklumat lanjut, sila hubungi : Pusat Pengurusan Risiko, Kelestarian dan Kesihatan Pekerjaan Aras 1, Bangunan IKMAS Universiti Kebangsaan Malaysia 43600 UKM Bangi Selangor Darul Ehsan No. Telefon : 03 – 8921 4076 / 4988 / 4074/3255 No. Faks : 03 – 8921 4077 Laman web : www.ukm.my/rosh e-Mel :
[email protected]
25